https://pepelac.news/es/posts/id5159-google-cambia-parches-de-android-vulnerabilidades-bajo-nda

Google cambia parches de Android: vulnerabilidades bajo NDA

Google prioriza a los OEM con NDA en parches de Android y retrasa detalles de vulnerabilidades

Google cambia parches de Android: vulnerabilidades bajo NDA

Google cambia su política de seguridad en Android: parches para OEM con NDA y retraso de 3 meses en detalles técnicos. Menos transparencia y más control.

2025-10-13T23:05:29+03:00

Google ha reformulado la manera en que divulga vulnerabilidades y distribuye parches de seguridad para Android. A partir de ahora, las actualizaciones de seguridad llegarán primero únicamente a los fabricantes de hardware (OEM) que firmen un acuerdo de confidencialidad (NDA).Con las nuevas reglas, el código fuente de las correcciones puede no publicarse durante tres meses tras la recepción de una actualización. Durante ese periodo, los proveedores podrán distribuir únicamente compilaciones binarias con los parches, sin desvelar detalles técnicos. En la práctica, esto frena la cadencia habitual de transparencia y deja la visibilidad temprana en manos de un grupo reducido de socios. El movimiento marca un cambio de prioridades: menos transparencia inmediata y más control sobre el calendario de despliegue.Hasta ahora, Google publicaba informes completos de vulnerabilidades junto con los boletines mensuales de seguridad de Android. Por ejemplo, la lista de septiembre de 2025 incluía 114 problemas identificados, mientras que la actualización de octubre omitió por completo sus descripciones. El contraste salta a la vista.El giro fue detectado primero por el equipo de GrapheneOS, la distribución independiente de Android centrada en la privacidad. El proyecto sostiene que la nueva política complicará el trabajo de los investigadores de seguridad independientes y de quienes desarrollan ROM personalizadas, que dependen de datos técnicos a tiempo para reaccionar con rapidez.Google, por su parte, asegura que la restricción temporal busca elevar la seguridad general al impedir que los atacantes analicen rápidamente los parches y aprovechen las vulnerabilidades antes de que lleguen las actualizaciones oficiales. La empresa describe el enfoque como una estrategia de ‘seguridad por ocultación’, con énfasis en reservar detalles hasta que las correcciones estén ampliamente desplegadas.Para mantener el ritmo de sus actualizaciones, GrapheneOS ya ha cerrado una alianza con un fabricante que recibe parches directamente de Google bajo el nuevo esquema. Es una salida pragmática que, sin embargo, subraya cómo el acceso ahora depende de acuerdos formales y no de documentación abierta.

Google, Android, parches de seguridad, vulnerabilidades, NDA, OEM, transparencia, seguridad por ocultación, GrapheneOS, actualizaciones, código fuente, ROM personalizadas, boletín de seguridad

2025

Danny Weber

news

Google prioriza a los OEM con NDA en parches de Android y retrasa detalles de vulnerabilidades

Google cambia su política de seguridad en Android: parches para OEM con NDA y retraso de 3 meses en detalles técnicos. Menos transparencia y más control.

Danny Weber, Editor

23:05 13-10-2025

Con las nuevas reglas, el código fuente de las correcciones puede no publicarse durante tres meses tras la recepción de una actualización. Durante ese periodo, los proveedores podrán distribuir únicamente compilaciones binarias con los parches, sin desvelar detalles técnicos. En la práctica, esto frena la cadencia habitual de transparencia y deja la visibilidad temprana en manos de un grupo reducido de socios. El movimiento marca un cambio de prioridades: menos transparencia inmediata y más control sobre el calendario de despliegue.

Hasta ahora, Google publicaba informes completos de vulnerabilidades junto con los boletines mensuales de seguridad de Android. Por ejemplo, la lista de septiembre de 2025 incluía 114 problemas identificados, mientras que la actualización de octubre omitió por completo sus descripciones. El contraste salta a la vista.

El giro fue detectado primero por el equipo de GrapheneOS, la distribución independiente de Android centrada en la privacidad. El proyecto sostiene que la nueva política complicará el trabajo de los investigadores de seguridad independientes y de quienes desarrollan ROM personalizadas, que dependen de datos técnicos a tiempo para reaccionar con rapidez.

Google, por su parte, asegura que la restricción temporal busca elevar la seguridad general al impedir que los atacantes analicen rápidamente los parches y aprovechen las vulnerabilidades antes de que lleguen las actualizaciones oficiales. La empresa describe el enfoque como una estrategia de ‘seguridad por ocultación’, con énfasis en reservar detalles hasta que las correcciones estén ampliamente desplegadas.

Para mantener el ritmo de sus actualizaciones, GrapheneOS ya ha cerrado una alianza con un fabricante que recibe parches directamente de Google bajo el nuevo esquema. Es una salida pragmática que, sin embargo, subraya cómo el acceso ahora depende de acuerdos formales y no de documentación abierta.